Kun tuo Koronavilkun lähdekoodi on julkaistu, onko kukaan katsonut voiko sen muuntaa DoS hyökkäämiseen toisia Koronavilkkuja vastaan?

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Ei se Koronavilkku sovellus edes hoida sitä puhelinten välistä kommunikaatiota, vaan Exposure Notifications rajapinta, joka on leivottu suoraan puhelimen käyttöjärjestelmään. Koronavilkku on vain sen päälle liimattu kansallinen käyttöliittymä ja tietokantayhteys.

Vierailija kirjoitti:

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Kun bluetooth on päällä, niin laitteesi mac osoite on näkyvissä kaikille. Mac osoite on yksilöllinen ja jokaisessa laitteessa on oma. Tämä on se mikä ohjaa ilmoitukset oikeaan osoitteeseen. Kun kuljet bluetooth auki, niin olet auki kaappauksille.

Vierailija kirjoitti:

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Tarkoitan sitä että kun koronavilkkusovellukset lähettävät toisilleen väliajoin vaihtuvan tunnistekoodin.

Niin sovellus muunnetaan spämmäämään randomia koodia niin tiheään että kaikki lähellä olevat sovellukset tai jopa koko puhelin on aivan liian kiireellinen käsittelemään sitä koodispämmiä että pystyisivät tekemään mitään muuta.

Vierailija kirjoitti:

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Ja jatkan vielä sen verran että todennäköisesti palvelinkaan ei osaa yhdistää tunnisteita mihinkään tiettyyn puhelimeen/appiin vaan sieltä lähetetään kaikkiin appeihin tieto altistuneista tunnisteista ja jokaisen käyttäjän appi vertaa tuota tunnistelistaa niihin tunnisteisiin joita on itse bluetoothilla ympäristöön mainostanut.

Vierailija kirjoitti:

Vierailija kirjoitti:

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Kun bluetooth on päällä, niin laitteesi mac osoite on näkyvissä kaikille. Mac osoite on yksilöllinen ja jokaisessa laitteessa on oma. Tämä on se mikä ohjaa ilmoitukset oikeaan osoitteeseen. Kun kuljet bluetooth auki, niin olet auki kaappauksille.

Bluetooth laitteet eivät aina tai edes useimmiten käytä sitä IEEE:llä rekisteröityä laitekohtaista MAC-osoitetta (Public MAC Address). Standardi sallii myös erilaiset tilapäiset, satunnaiset MAC-osoitteet (Random MAC Address), juurikin tietoturvasyistä - eikä kaikilla laitteilla edes ole tuota virallista laitekohtaista osoitetta, koska sen rekisteröiminen maksaa, vaan pelaavat pelkästään tilapäisillä MAC-osoitteilla. Olisin todella yllättynyt mikäli tuo Exposure-rajapinta käyttäisi tuota kiinteää MAC-osoitetta kun ei ole pakko ja tietoturva sekä anonymiteetin säilyttäminen on ollut ykkösprioriteetteja tuota suunnitellessa.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Kun bluetooth on päällä, niin laitteesi mac osoite on näkyvissä kaikille. Mac osoite on yksilöllinen ja jokaisessa laitteessa on oma. Tämä on se mikä ohjaa ilmoitukset oikeaan osoitteeseen. Kun kuljet bluetooth auki, niin olet auki kaappauksille.

Bluetooth laitteet eivät aina tai edes useimmiten käytä sitä IEEE:llä rekisteröityä laitekohtaista MAC-osoitetta (Public MAC Address). Standardi sallii myös erilaiset tilapäiset, satunnaiset MAC-osoitteet (Random MAC Address), juurikin tietoturvasyistä - eikä kaikilla laitteilla edes ole tuota virallista laitekohtaista osoitetta, koska sen rekisteröiminen maksaa, vaan pelaavat pelkästään tilapäisillä MAC-osoitteilla. Olisin todella yllättynyt mikäli tuo Exposure-rajapinta käyttäisi tuota kiinteää MAC-osoitetta kun ei ole pakko ja tietoturva sekä anonymiteetin säilyttäminen on ollut ykkösprioriteetteja tuota suunnitellessa.

Sama kuvio myös WIFI-verkoissa. Ainakin Android-puhelimet ovat jo pitkään käyttäneet esim WIFI-verkkojen etsimiseen jatkuvasti vaihtuvaa anonyymia MAC-osoitetta, joka estää mm sen että puhelimen liikkeitä voisi seurata WIFI-verkkojen tunnistetietojen kautta. Staattista MAC-osoitetta käytetään vasta verkkoon kirjautuessa.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Kun bluetooth on päällä, niin laitteesi mac osoite on näkyvissä kaikille. Mac osoite on yksilöllinen ja jokaisessa laitteessa on oma. Tämä on se mikä ohjaa ilmoitukset oikeaan osoitteeseen. Kun kuljet bluetooth auki, niin olet auki kaappauksille.

Bluetooth laitteet eivät aina tai edes useimmiten käytä sitä IEEE:llä rekisteröityä laitekohtaista MAC-osoitetta (Public MAC Address). Standardi sallii myös erilaiset tilapäiset, satunnaiset MAC-osoitteet (Random MAC Address), juurikin tietoturvasyistä - eikä kaikilla laitteilla edes ole tuota virallista laitekohtaista osoitetta, koska sen rekisteröiminen maksaa, vaan pelaavat pelkästään tilapäisillä MAC-osoitteilla. Olisin todella yllättynyt mikäli tuo Exposure-rajapinta käyttäisi tuota kiinteää MAC-osoitetta kun ei ole pakko ja tietoturva sekä anonymiteetin säilyttäminen on ollut ykkösprioriteetteja tuota suunnitellessa.

Eikö tämä vilkku ole vain suomalainen käyttöliittymä, mikä käyttää googlen covid19 altistusilmoituksia ja seurantaa? ( https://www.google.com/covid19/exposurenotifications )

Tämä googlen homma on löytynyt lähes jokaisesta android puhelimesta jo keväästä lähtien. Katsokaa vaikka asetukset -> google ja siellä se on ensimmäisenä. Eli vaikka vilkkusovellus ei itse kerää tietoja, niin yksityisyytesi on edelleen googlen käsissä, kuten tähänkin asti.

Vierailija kirjoitti:

Vierailija kirjoitti:

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Kun bluetooth on päällä, niin laitteesi mac osoite on näkyvissä kaikille. Mac osoite on yksilöllinen ja jokaisessa laitteessa on oma. Tämä on se mikä ohjaa ilmoitukset oikeaan osoitteeseen. Kun kuljet bluetooth auki, niin olet auki kaappauksille.

Täällä on AV-palstan penetraatiotestaajat liikkeellä, vaikka ainoa penetraatio josta josta AV-mammalla on kokemusta, on suoritettu siittimellä.

Vierailija kirjoitti:

Vierailija kirjoitti:

Ei sinun puhelimessasi ole mitään tietoja joiden perusteella voisit lähettää muiden puhelimiin mitään. Kun saat positiivisen näytteen jälkeen koodin niin puhelimesi lähettää ne viimeisen parin viikon aikana keräämänsä anonyymit tunnisteet ("altistushistoriasi") palveimelle joka hoitaa viestiliikenteen tunnisteita vastaaviin appeihin.

Tarkoitan sitä että kun koronavilkkusovellukset lähettävät toisilleen väliajoin vaihtuvan tunnistekoodin.

Niin sovellus muunnetaan spämmäämään randomia koodia niin tiheään että kaikki lähellä olevat sovellukset tai jopa koko puhelin on aivan liian kiireellinen käsittelemään sitä koodispämmiä että pystyisivät tekemään mitään muuta.

Ei se sinun puhelimesi koko ajan vastaanota ja käsittele mitään, vaan ainoastaan silloin tällöin haistelee hetken lähettääkö lähistöllä joku viestejä. Lähetyspuoli on tiheämpi, muistelisin että rajapinnan standardin mukaan viestejä lähtee puhelimesta ulospäin monta kertaa sekunnissa.